Referat Møte: Møte mellom Norid og Dot-Enno Dato: 06.12.2017 kl. 10.00 14.00 Sted: Referent: Til stede: Forfall: Kopi: Norids kontor i Trondheim Elisabeth Farstad Fra Dot-Enno: Kristian Ørmen, Benny Samuelsen, Espen Rampton Fra Norid: Jarle Greipsland, Unni Solås, Elisabeth Farstad, Rune Sivertsen, Ann-Cathrin Marcussen, Sarah Ødegård Marit Østlyng Møtedeltakerne og de som var innkalt Saksliste 1. Godkjenning av referat fra siste møte 22.08.2017 2. Gjennomgang av aksjonslista 3. Hvordan og hvor mye bruker registrarene Whois? (Norid v/rs) 4. Bruk av webinar: Hvordan ser Dot-Enno på et slikt tilbud for informasjon og opplæring? (Norid v/ef) 5. Nytt punkt: Oppfølging av seminaret om GDPR 5. desember 6. Eventuelt 7. Dato og sted for neste møte Referat 1. Godkjenning av referat fra siste møte 22. august 2017 Referatet godkjent. 2. Gjennomgang av aksjonslista Se ajourført aksjonsliste nederst i referatet. 3. Hvordan og hvor mye bruker registrarene Whois? (Norid v/rs) Norid v/ RS tok opp spørsmålet om registrarenes bruk av whois. Bakgrunnen er et pågående prosjekt i Norid for å definere hvilke data som skal samles inn og hvordan de skal publiseres til ulike brukergrupper, blant annet i lys av ny personvernforordning, GDPR. I den forbindelse er det interessant å få vite hvordan registrarene bruker dagens whois; er det bare en oppslagstjeneste,
eller er den også basis for interne tjenester? Hvor store konsekvenser vil det få hvis dagens whois slås av? Registrarene sa følgende om sin bruk av dagens whois: - brukes for å finne telefonnummer når domener ligger på REG0 - henviser til whois når noen tar kontakt for å få informasjon om et domene, oftest i forbindelse med at noen ønsker å kjøpe et domene som allerede er registrert - når en kunde ønsker å abonnere på nytt domene, brukes whois til å sjekke om kunden er innenfor kvoten sin (som en ekstraservice) - kundene henvises til whois for selv å kunne se fornyingsdato/utløpsdato i tilfeller der de ikke selv ønsker å verifisere at registraren har fornyet domenet Dagens whois-bruk er ikke kritisk for at registrarene skal kunne gjøre jobben sin. 4. Bruk av webinar (Norid v/ef) Ut fra erfaring med at det av og til er lav oppslutning om seminarer for registrarene, ønsker Norid synspunkter på hvorvidt webinar kan være en idé som et supplement til fysiske seminarer. Dot-Enno ønsker definitivt ikke at de fysiske seminarene skal erstattes av webinarer. De foreslår at fysiske seminarer streames med tanke på dem som ikke kan være fysisk til stede. De har også andre innspill til utvikling av seminarformen: - mindre og kortere seminarer (4 timer) arrangert i hhv. Trondheim og Bergen i tillegg til Oslo - større seminarer i Oslo med møteramme kl. 12-17 slik at det er mulig for de fleste å delta uten å overnatte 5. Nytt punkt: Oppfølging av seminaret om GDPR 5. desember Blant mulige felles oppfølgingspunkter, peker personvernerklæring og databehandleravtale seg ut som naturlige startpunkt siden alle skal ha disse dokumentene klare til 25. mai. I sin tur vil disse også danne basis for en bransjenorm (beste praksis-dokument) for håndtering av personopplysninger i norsk domenebransje. Når det gjelder bransjenormer, oppfordrer Datatilsynet aktuelle bransjer til å utvikle egne normer som de kan søke om å få godkjent. Dot-Enno spiller inn som en mulighet at Norid finansierer å få utarbeidet en slik norm. Den må da være et tilbud til alle registrarer, uavhengig av om de er medlemmer i Dot-Enno eller ikke. 6. Eventuelt - Dot-Enno v/ BS tok opp at et domene ble slettet uten at registraren ble varslet. Norid peker på at det alltid går melding via EPP. Innrømmer likevel at registraren burde vært varslet spesielt i akkurat denne saken, men at rutinen har sviktet. - Diskusjon om falske registreringer, ref. Kina-registreringer. Er det realistisk å lage et helt vanntett system, eller må vi regne med at en liten andel vil gå under radaren? -
- Diskusjon om hvorvidt beslutningen om teknisk kontakt som en rollekontakt er en hensiktsmessig løsning. 7. Tidspunkt og sted for neste møte Mandag 5. mars kl. 12.00-17.00 i Oslo. Aksjonsliste 1. Innspill til registreringssystemet Norid vurderer innspillene og ser hvilke systembegrensninger som er nødvendige og hvilke som kan endres. Som et minimum må de begrensningene som finnes dokumenteres. a. Norid vil lage en webside med oversikt over varslingsrutiner i forbindelse med oppdatering av registreringssystemet Ikke implementert, Norid sjekker status Mindre merkbar nedetid ved oppdateringer nå. Likevel nyttig med en side som gir oversikt over datoer ved store omlegginger og utrullinger, f.eks. ved ny datamodell. Forslag til kalenderløsning oversendt Dot-Enno v/ BS for kommentarer. Vil i større grad bruke kalenderløsningen framover istedenfor å sende ut på registrarlista. Endringen annonseres på registralista nå. Aksjonen står til neste møte for endelig avsjekk. b. Mulighet for å sette serverhold via EPP for å få et domene ut av sonen Status clienthold vises i whois. Norid v/acm snakker med jurister hos IIS om hvordan de har vurdert de juridiske sidene, samt hvilke erfaringer de har gjort seg med denne ordningen. Norid v/us lager en survey blant CENTR-medlemmene for å sjekke hva andre registreringsenheter gjør. AC skal snakke med Filippa Murat hos IIS for å innhente erfaringer før Norid tar opp saken internt.
AC skal purre på henvendelsen til IIS. ACM har vært i kontakt med IIS, som rapporterer at de ikke har erfart noen problemer med en slik løsning. Konklusjon: Norid vurderer hvordan en slik løsning kan implementeres for.no. Aksjonen står til neste møte for endelig avsjekk. 2. Fornying av domener Registrarforeningen har tre innspill til prosessen rundt fornying av domener: Gjøre det mulig å fornye domener tidligere, minst tre måneder før utløpsdato (vanskelig å holde styr på hvilke domener som er betalt og venter på fornying, samt at kunder betaler og flytter til ny registrar før domenet er fornyet). Publisere utløpsdato for domener i whois-databasen (bakgrunn: slik at kunden kan se at domenet er fornyet). Mulig med fornying for flere år. Regstrarer opplever etterspørsel om dette, og tilbyr det, men da er det et problem at fornyingen ikke kan overføres ved flytting til ny registrar. Norid skal ta opp disse punktene med ledelsen. Larsen Data har til opplysning tilbudt fornying for inntil fem år av gangen i halvannet år nå, og ser at overraskende mange kjøper fem års fornying hos de TLD-ene som tilbyr flerårig registrering. For å sørge for at whois-informasjonen til kunden holdes oppdatert, krever mange av disse TLD-ene at registraren kontakter kunden en gang i året, f.eks. for å be dem bekrefte whois-informasjonen. Norid v/us skal lage et underlag til ledelsen slik at de kan ta en avgjørelse. Utvidet fornyingsvindu: Det regnskapstekniske hos Norid er under avklaring. Tas opp i ledelsen i Norid når det regnskapsmessige er klart. Spørsmålet om utløpsdato i whois er tatt inn det pågående whois-prosjektet. 3. Privatpersoner under.no a. Gjøre oppslag av PID mulig, slik at registrarene kan få ut fullt navn og dermed gjøre verifisering av kunder sikrere. Problemet er gjerne kunder som til daglig bruker en variant av navnet sitt som ikke er lik det som står i Folkeregisteret. De oppgir dette navnet og PID til registraren, som så ikke har noen måte å
sjekke dette på før de lager personobjektet hos Norid og får feilmelding fordi navnet er feil. Feilmeldingen returnerer ikke det korrekte navnet. Norid ser på muligheten for reversoppslag i PID-automaten. Venter på utviklingsressurser hos Norid Konklusjon: Kan finne hvilke navn som hører til hvilken PID via EPP. Aksjonen avsluttes. b. Se på prosessen med generering av PID. Registrarene bemerker at det er fare for at kunden forsvinner til en annen registrar i løpet av den tiden det tar å få generert en PID. Norid noterer innspillet. Venter på utviklingsressurser hos Norid Norid v/ JG følger opp avtaleverket videre 4. Eierskifte på domener Registrarforeningen har to innspill til prosessen rundt eierskifte på domener a. Domener bør ikke få ny registreringsdato ved eierskifte Registrarforeningen skriver et notat med begrunnelse som sendes til Norid. Registrarforeningen skriver et notat med begrunnelse som sendes til Norid. Avventer notat fra registrarforeningen b. Fjerne avgift ved eierskifte for domener som er utløpt Dot-Enno skriver et notat med begrunnelse som sendes til Norid.
Registrarforeningen skriver et notat med begrunnelse som sendes til Norid. Avventer notat fra registrarforeningen 5. Informasjon til bostyrere Norid og registrarforeningen skal samarbeide om å lage informasjon til bostyrere. a. Flagging av domener der abonnenten er konkurs Registrarforeningen ønsker at domener flagges når abonnenten meldes konkurs i Brønnøysundregistrene slik at de ikke enkelt kan endres, slettes eller overføres uten at bostyrer er inne i loopen. Det er flere måter å løse dette på, f.eks. med EPP-utvidelser og/eller manuelle rutiner. Diskusjon om registrarens ansvar for å forsikre seg om at det er den som har fullmakt til det som bestiller en overføring. Vurderes i forbindelse med revisjon av registrarkontrakten. b. Informasjon til bostyrere Norid v/acm tar kontakt med Konkursrådet og ber om et møte der også registrarforeningen og muligens IKT-Norge kan delta. Hensikten er å utveksle informasjon om og erfaringer med domenenavn og tjenestespekteret rundt domener i forbindelse med konkurser. ACM samarbeider med Dot-Enno v/bs om å forberede møtet. Dot-Enno v/bs og Norid v/acm skal ha et arbeidsmøte hvor dette diskuteres Dot-Enno v/bs og Norid v/acm skal fortsette arbeidet med dette. Personen i konkursregisteret som vi har hatt kontakt med har sluttet uten at det har kommet inn noen ny person. Norid v/acm kontakter Signar Slåttøy i Brønnøysundregistrene for å få navn på en ny kontakt i konkursregisteret. ACM finner ut hvem som er ny kontaktperson i konkursregisteret i Brønnøysund. Norid v/ ACM og Dott-Enno v/ BS tar opp tråden med å skrive et notat.
6. Arbeid med diverse dokumenter i forbindelse med implementering av GDPR 28. mai 2018 Personernerklæring og databehandleravtale prioriteres. Danner i sin tur basis for en norsk bransjenorm (beste praksis-dokument) for håndtering av personopplysninger i domenebransjen. Norid vurderer hvor dette arbeidet bør plasseres i prosjekter som pågår, og hvem som skal ha ansvaret for det.